渗透测试教案-4-漏洞扫描与验证3

渗透测试教案（首页）学年第学期任课老师：编号：9班别时间课题漏洞扫描与验证——漏洞验证方法教学目标知识目标：了解漏洞危险等级的分类标准，包括低危、中危和高危漏洞的定义和特征。了解常见漏洞的种类、表现形式以及对应的手工验证技巧。了解手工验证漏洞时所需的工具和技术，以及如何根据不同漏洞类型选择合适的方法。能力目标：能够独立运用手工方法对常见漏洞进行准确验证，并能合理评估其风险等级。。能够根据漏洞的实际情况撰写详细的漏洞验证报告，包括漏洞描述、验证过程、风险等级评定等内容。能够具备综合运用手工验证方法，在模拟或实际环境中对系统进行全面漏洞检查的能力。情感目标：培养学生对网络安全漏洞验证工作的责任感，使学生认识到准确验证漏洞对于保障系统安全的重要性。增强学生的团队合作意识，通过小组讨论和实践操作，让学生学会在漏洞验证工作中相互协作、交流经验。让学生养成严谨、细致的工作态度，在操作过程中注重细节。重点难点重点：通过实际案例分析,使学生对漏洞危险等级有更直观的认识。教授学生如何利用基本的网络工具（如浏览器开发者工具、网络抓包工具等）进行手工漏洞验证，包括工具的操作技巧和如何解读工具输出的结果。详细介绍漏洞验证报告的结构和内容要求，包括漏洞概述、验证过程、发现时间、危险等级评估、影响范围、建议修复措施等方面。难点：掌握如何区分相似现象的漏洞类型。漏洞的危险等级评估在不同环境下会有所不同，如何结合业务情况进行科学的漏洞评级。如何撰写高质量的漏洞验证报告。组织形式课堂教学（√）、上机操作（√）、模拟实验（）、外出参观（）、其他（）教学方法理论讲授（√）、实操演练（√）、情境教学（）、案例教学（√）、问题导向（√）、合作探究（√）、任务驱动（√）、翻转课堂（）、其他（）教学资源PPT课件，虚拟机课外作业课后习题学情分析学生已学习了与客户的渗透测试概论、前期交流和信息收集的相关知识。学生具备一定的计算机操作基础，但操作专业的网络安全工具可能会遇到困难部分学生可能对理论知识的学习兴趣不高，更倾向于实践操作，因此在教学过程中需要合理安排理论与实践的比例，提高学生的学习积极性。

渗透测试教案（教学过程）时间分配教师学生备注5分课程导入听课讨论5分课程思政案例分享：根据《中华人民共和国网络安全法》第二十六条：开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。思考：应如何在合法的情况下进行漏洞验证？5分课程思政案例分享：根据《中华人民共和国网络安全法》第二十七条：任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。思考：如何看待对漏洞验证结果的保密行为？10分理论讲授：讲授漏洞类型讲授漏洞类型评级标准听课讨论10分任务驱动：通过小组探讨开源漏洞靶场DVWA各功能的漏洞评级练习15分理论讲授：讲授常见的低危漏洞类型。演示手工验证常见低危漏洞的方式听课讨论30分任务驱动：使用AWVS对testphp靶场进行漏洞扫描，并根据漏洞报告，对显示低危漏洞进行手工验证。练习10分理论讲授：讲授常见的中危漏洞类型。演示手工验证常见中危漏洞的方式听课讨论25分任务驱动：对AWVS生成的testphp靶场报告中，手工验证显示的中危漏洞。练习10分理论讲授：讲授常见的高危漏洞类型。演示手工验证常见高危漏洞的方式听课讨论25分任务驱动：对AWVS生成的testphp靶场报告中，手工验证显示的高危漏洞。